I responsabili dei dipartimenti di Information Security 
(CISO) hanno un problema di fondo: farsi comprendere
 dal business. Ogni fine anno, per utilizzare una metafora pubblicitaria, c’è un CISO che si alza con l’obiettivo di stilare la lista degli investimenti e delle esigenze per il prossimo anno per proteggere l’azienda. Ogni fine anno, dall’altra parte, c’è un responsabile amministrativo-finanziario (CFO) che si alza e si rende conto che dovrà battagliare con un CISO per comprendere a quale scopo siano necessari nuovi investimenti o risorse per la funzione di Information Security.

E questa è solo una delle battaglie che un CISO deve affrontare durante l’anno. Al di là dei problemi quotidiani che possono derivare da informazioni da proteggere, vulnerabilità da far rientrare, minacce da presidiare, il CISO, sempre che sia invitato ai tavoli, deve anche combattere con i responsabili delle linee di business per includere nelle nuove progettualità un budget per gli aspetti di sicurezza. Accade di frequente che il budget stilato per lo sviluppo di un nuovo servizio digitale non tenga in considerazione il costo delle contromisure necessarie alla sua protezione per le ragioni più disparate ma sostanzialmente per l’urgenza del business di decollare con nuovi servizi e il timore che la ”Security” possa in qualche modo rallentare o bloccare alcune delle funzionalità sviluppate.

L’incomprensione fra i due mondi spesso è dettata dall’utilizzo di linguaggi diversi: quello del CFO e dei responsabili di business legato ad ottiche economiche di costi-benefici, di risparmi, di ritorno degli investimenti, mentre quello del CISO legato a ottiche più tecniche: firewall, protocolli di sicurezza, anti-virus, intrusion detection system, SIEM e così via. Ed ecco che ogni fine anno, le richieste di investimento del CISO vengono tagliate in quanto ritenute un costo a cui non si riesce ad associare un reale beneficio.

C’è un punto di incontro fra i due mondi? Potenzialmente il punto di incontro per facilitare il processo di autorizzazione all’investimento potrebbe essere il Return on Security Investment (ROSI). Il ROSI è una formula che può essere semplificata come:

ROSI = (Riduzione della perdita monetaria – Costo della soluzione)/Costo della soluzione

La formula di per sé è semplice e lineare. Se ci si addentra però un attimo sulle 2 sole voci che la compongono, si aprono dei vasi di pandora da cui escono filosofeggianti interpretazioni su cosa debbano contenere e come stimarli, lasciando in questo caso basiti sia i CISO sia i CFO. Non sarà questo articolo a infondere la scienza esatta riguardo il ROSI e le voci che devono comporlo, l’intenzione è semplicemente di arrivare ad un ”so what” tanto caro alla consulenza quanto ai decisori.

Il ”so what” è determinato dai dati e non dalle dichiarazioni. Pertanto, durante il progetto europeo Ecrime, la Fondazione si è interrogata su quali potessero essere i dati da considerare nel costo della soluzione. Per affrontare l’argomento si è partiti dall’analisi di alcuni scenari di attacco. E’ stata presa una potenziale tipologia di attacco ad un’azienda (es. ransomware). L’attacco è stato suddiviso in fasi, seguendo a grandi linee il modello della cyber kill chain. Una volta identificate le fasi, sono state considerate tutte le contromisure che avrebbero potuto contrastare l’attacco in ogni singola fase. Esempio per evitare l’apertura di un’ email di spear phishing (singola fase di un attacco), le contromisure da mettere in campo possono essere:

  1. Campagna di sensibilizzazione dei dipendenti
  2. Policy aziendale sulla gestione delle email
  3. Aggiornamento dei software a protezione dell’end point
  4. Utilizzo di software contro il phishing

Probabilmente ci sono anche altre contromisure ma questo è un sempliceesempio. Identificate le contromisure, la Fondazione si è interrogata su quali potessero essere i costi associati alle soluzioni stesse. Pertanto prendendo ad esempio, la contromisura ”Campagna di sensibilizzazione dei dipendenti”, i costi da imputare a tale contromisura sono il risultato della sommatoria delle seguenti voci:

  1. Percentuale del tempo annuo delle risorse impiegate a preparare il programma di valutazione e formazione per la sensibilizzazione dei dipendenti moltiplicato per il costo delle risorse (comprensivo di contributi previdenziali versati dalla azienda);
  2. Percentuale del tempo annuo impiegato dalle risorse ad effettuare il test per la valutazione del proprio livello di sensibilizzazione e a seguire i corsi preparati moltiplicato per il costo delle risorse;
  3. Ammortamento della quota parte dell’applicativo utilizzato per le attività di e-learning o in aula
  4. Costo del materiale necessario per l’attività di formazione e sensibilizzazione (es. brochure, linee guida,..)
  5. Costo di eventuali formatori esterni.

Questo esempio ci fa comprendere come sia complesso anche per un CISO tenere traccia di tutti i costi associati ad una contromisura. Inoltre, molte delle informazioni qui sopra rappresentate non sono di diretta gestione del CISO stesso. Ecco che è necessario quindi un lavoro trasversale in cui si devono reperire i dati e associare le giuste percentuali in base alle attività svolte. Il costo per l’utilizzo di uno strumento non deriva solo dal costo di ammortamento ma anche dalle persone che impiegano il tool. Ovviamente i più attenti noteranno che alcuni costi non sono stati rappresentati ma possono essere imputati come costi generali.

Prendiamo il caso della email di spear phishing, come faremo a valutare se l’utilizzo delle campagne di sensibilizzazione hanno portato ad un risultato positivo o negativo? In teoria nel momento in cui, email di spear phishing vengono segnalate dai propri dipendenti all’ufficio competente, è già un primo indice di successo ma non ci rappresenta quantitativamente il valore in termini economici.

Una possibilità è definire quale potesse essere lo scenario nel caso in cui quelle email di spear phishing fossero state aperte. Qui di fatto entra in gioco la capacità del CISO di dettagliare lo scenario di impatto derivante dall’esecuzione dell’attacco stesso. A chi era rivolta l’email, quali informazioni gestisce la persona a cui era rivolta, di quali credenziali o privilegi era in possesso, etc. etc. Inoltre da un’analisi anche dei link contenuti nell’email e di quanto possa essere raccolto si può determinare anche lo scopo e risalire a casistiche similari o identiche e pertanto formulare delle ipotesi di mancato impatto in termini di informazioni preservate, disservizi evitati, reputazione mantenuta.

La Fondazione ha effettuato un passo ancora in più e ha cercato di fornire una classificazione delle contromisure inserendole in un modello internazionale. Il modello scelto è stato il cyber security framework del NIST, ultimamente diffuso con qualche modifica anche in Italia. Il modello prevede 5 macro ”Funzioni” al cui interno vengono identificate delle categorie di attività. Prendendo il nostro esempio, la contromisura ”Campagna di Sensibilizzazione dei dipendenti” rientra nella Funzione ”Protect” (PR) dentro la categoria Awareness & Training (AT). Pertanto le voci di costo relative all’iniziativa sensibilizzazione vengono classificate con il codice ”PR.AT”. In questo modo, tutte le attività di Information Security vengono rendicontate, categorizzate analiticamente e possono essere richiamate per varie tipologie di reportistica.

Alla fine dell’anno, prendendo sempre il caso dello spear phishing, il CISO, se avrà fatto bene il suo lavoro di rendicontazione, avrà in mano tutte le casistiche di spear phishing che hanno impattato l’azienda a cui dovrà attribuire un valore di impatto avvenuto, nel caso l’attacco sia andato a buon termine ed evitato nel caso in cui le varie contromisure abbiano avuto successo. Il beneficio ovviamente viene calcolato sull’impatto evitato mentre quello accaduto purtroppo produrrà delle perdite per l’azienda che si andranno ad ammontare nella bilancia dei costi e benefici ai costi sostenuti dall’azienda.

”Perché servono risorse e investimenti per le campagne di spear phishing? Perché dallo storico si evidenzia che a fronte di un costo sostenuto pari a X abbiamo evitato un impatto pari a Y, dove X<Y pertanto l’azienda ci ha guadagnato per un danno potenziale evitato”. Stessa cosa varrebbe se la fase di attacco fosse stata fermata in un’altra fase dell’attacco, magari quando il C&C era già stato installato. In questo caso il CISO valuterà anche il peso delle singole contromisure messe in piedi e verificherà qual è il giusto bilanciamento. Ovviamente la matrice di impatto deve essere concordata con le funzioni di business e con il top management generale. Questa, come già espresso in precedenza, non è scienza esatta ma vuole gettare le basi per iniziare a ragionare in ottica di business anche per strutture che vengono definite di puro costo. Non abbiamo trattato l’argomento della metodologia di calcolo dell’impatto, ma sicuramente sarà un argomento che verrà trattato prossimamente. Alla base di tutto c’è sempre un dato. E’ come lo raccogliamo, analizziamo, classifichiamo e aggreghiamo che fa la differenza. Prima di iniziare molti aspettano di avere in mente il quadro completo, ma spesso il quadro completo viene realizzato iniziando a dipingere e si raggiunge la perfezione solo attraverso dei tentativi revisionati.

Massimo Cappelli

Massimo Cappelli

Twitter
Visit Us
LinkedIn
Share
YOUTUBE